Ocena učinkov je namenjena pravočasnemu prepoznavanju, analizi in zmanjševanju tveganj nezakonite obdelave osebnih podatkov. Kadar obstaja možnost, da bi vrsta obdelave, še posebej z uporabo novih tehnologij, zaradi svoje narave, obsega, okoliščin in namenov lahko povzročila veliko tveganje za pravice in svoboščine posameznikov, morajo upravljavci pred začetkom obdelave opraviti oceno vpliva predvidenih obdelav na varstvo osebnih podatkov.

Zmeraj pred obdelavo osebnih podatkov, kot to določa 35. člen Splošne uredbe in uvodni določbi 90 in 93 in skladno s konceptoma vgrajenega in privzetega varstva podatkov. Dobra praksa je osveževanje ocen učinkov v rednih intervalih, npr. vsaj na 3 leta, saj se v vmesnem času ob hitrih tehnoloških in družbenih spremembah, lahko pomembno spremenijo okoliščine obdelave osebnih podatkov.

Če se je obdelava podatkov pričela pred 25. 5. 2018 in je po tem datumu prišlo do večjih sprememb v tveganjih, naravi, obsegu, kontekstu ali namenih, je oceno učinkov potrebno izvesti. Večji nabor zbranih podatkov, dodatni nameni obdelave in druge okoliščin imajo namreč lahko pomembne vpliv na ustrezno pravno podlago, sorazmernost, varnost podatkov in druge pomembne vidike, zato je oceno učinkov treba izvesti.

Prvi korak je določitev, ali je ocena vpliva na varstvo osebnih podatkov potrebna. 

Nato sledi sama izvedba ocene vpliva, pri kateri lahko uporabite različne metodologije. GDPR ne predpisuje določene metodologije, kar upravljavcem omogoča fleksibilnost pri izbiri in uporabi primerne metode. Pomembno je, da ocena vpliva ni promocijski material, ki našteva cilje in prednosti projekta, storitve ali procesa, ampak gre za temeljito oceno in upravljanje s tveganji. Nadzorni organi priporočajo razvoj sektorsko-specifičnih metodologij, saj so bolje prilagojene posebnim potrebam posameznih sektorjev.